GESTIONE DEI RISCHI E MISURE DI CONTRASTO

Il whistleblowing come completamento delle gestioni dei rischi

Come suggerisce l’articolo Whistleblowing: il valore aggiunto per il governo dei rischi organizzativi, adempiere ai requisiti del whistleblowing (WB) è certo un costo, ma se lo si guarda dal punto di vista della gestione dei rischi può essere un’opportunità.

Infatti, la di là dei suoi obiettivi specifici, il WB costituisce uno strumento a completamento dei processi di gestione dei rischi per almeno quattro aspetti.

  1. L’implementazione del WB, a seguito del D.Lgs 24/2023 ed in conformità alle Linee Guida ANAC, permette di prevenire o minimizzare la perdita di beni e favorire il recupero dei beni perduti, garantire il rispetto delle politiche organizzative, delle procedure e degli obblighi legali e sociali dell’azienda, di dimostrare ai mercati, alle autorità ed agli altri stakeholder che vengono attuate pratiche di governance sane ed etiche (anche con eventuale adesione volontaria alla ISO 37002:2021 “Whistleblowing management systems – Guidelines”).
  2. L’attuazione del processo WB può far emergere situazioni critiche sfuggite ai diversi processi e livelli di gestione e controllo perché occultate. Questo dal punto di vista dell’internal auditing (IA) previsto dal “three-lines-model (dai rischi) dell’IIA“.
  3. Il WB può favorire decisioni consapevoli, nell’ambito di informazioni affidabili, tempestive e di qualità, come previsto dalla componente “Information, Communication & Reporting” dell’Enterprise risk management (COSO ERM) framework.
  4. Il D.Lgs 24/2023 prevede all’Art. 2 punto 1.a.3, tra le violazioni segnalabili, anche quelle afferenti alla tutela della vita privata e protezione dei dati personali, costituendo quindi il WB un ulteriore strumento per il rispetto del GDPR.

[Numerose piattaforme online offrono servizi di gestione del whistleblowing. Wondersys ha condotto una disamina di alcune soluzioni, individuando Open Blow tra le più valide e sicuramente conforme al D.Lgs 24/2023. La piattaforma è stata messa a punto da Laser Romae che ha sviluppato il software a supporto dell’ANAC (Autorità Nazionale AntiCorruzione). Ndr]

I requisiti per il gestore delle segnalazioni di whistleblowing visti da diverse angolazioni

L’articolo Il soggetto gestore del canale interno per le segnalazioni di whistleblowing: aspetti di attenzione in materia di privacy fornisce una serie di indicazioni circa la gestione del canale di segnalazione interna, in relazione al D.Lgs 24/2023 sul whistleblowing (DLWB).

Innanzitutto, in base allo stesso D.Lgs, questa gestione

  • può essere affidata sia a un soggetto dell’organizzazione stessa (persona o un ufficio autonomo dedicato) sia a un soggetto esterno, anch’esso autonomo;
  • deve essere affidata al Responsabile della prevenzione della corruzione e della trasparenza (RPCT), nel caso dei soggetti pubblici tenuti a tale nomina in base al D.Lgs. n. 231/2001;
  • può essere condivisa: nel settore pubblico, dai comuni diversi dai capoluoghi di provincia; in quello privato, dalle organizzazioni con organico in media inferiore a 249 persone nell’anno precedente.

In base al GDPR,

  • nel caso di gestione interna delle segnalazioni, il gestore sarà anche incaricato del trattamento dei dati personali, da parte del titolare del trattamento,
  • nel caso di gestione esterna delle segnalazioni, il gestore sarà anche nominato responsabile esterno del trattamento dei dati personali, da parte del titolare del trattamento (con varianti che dipendono dall’essere o meno affidata all’esterno la sola gestione dell’infrastruttura),
  • nel caso di gestione condivisa del canale, vi sarà un rapporto tra contitolari (le diverse organizzazioni) ed il responsabile del trattamento che comunque gestirà il canale di segnalazione per gli enti mandanti.

Tra le precisazioni che ha fornito l’ANAC con le Linee guida emanate lo scorso luglio,

  • il gestore del canale di comunicazione deve disporre di autonomia, intesa come imparzialità ed indipendenza;
  • la condivisione del canale di segnalazione interna è possibile anche per gli enti pubblici con meno di 50 dipendenti;
  • nelle organizzazioni private l’affidamento della gestione del canale di segnalazione può essere affidata, tra gli altri, agli organi di internal audit, all’Organismo di vigilanza previsto dal D.Lgs. n. 231/2001, ai comitati etici (ma, secondo l’autore dell’articolo, con le cautele dovute ai possibili conflitti);
  • il gestore delle segnalazioni, una volta accertata la fondatezza e la conformità al DLWB della segnalazione, la dovrebbe rimettere agli organi preposti interni o enti/istituzioni esterne, secondo competenza, ai fini dell’accertamento delle responsabilità individuali e dell’illegittimità dei fatti denunciati (anche se poi l’autore dell’articolo afferma che il gestore potrebbe procedere ad un primo accertamento delle responsabilità individuali con esecuzione di controlli di merito e di legittimità).

Sia secondo ANAC che secondo il Garante della privacy, il Responsabile della prevenzione della corruzione e della trasparenza (RPCT – D.Lgs 231) non dovrebbe essere, in generale, il Responsabile della protezione dei dati (DPO), per evitare interferenze in termini di merito e anche di tempo. Analogamente il DPO non dovrebbe essere un gestore delle segnalazioni, anche per possibili conflitti di competenze.

L’articolo si conclude sottoponendo all’attenzione del lettore la possibilità per cui in cui il segnalato potrebbe essere lo stesso gestore delle segnalazioni, caso in cui il segnalante potrebbe rivolgersi direttamente all’ANAC, ma impedendo così all’azienda di migliorare direttamente, al proprio interno, la correttezza della propria struttura organizzativa.

Un gruppo di lavoro che suggerisce protezione dei dati personali nell’utilizzo delle nuove tecnologie applicate alla gestione delle città

Con l’articolo Smart Cities e protezione dati: il documento di lavoro del Gruppo di Berlino si apprende delle attività del costituito Gruppo di lavoro internazionale sulla protezione dei dati nella tecnologia (IWGDPT), cosiddetto “Gruppo di Berlino”, che riunisce rappresentanti delle Autorità europee ed extraeuropee, di organismi internazionali ed esperti di tutto il mondo.

Con l’adozione di un documento di lavoro sulle “Smart Cities”, il gruppo ha inteso fornire uno strumento di supporto ad amministrazioni locali, fornitori di servizi ed autorità di regolamentazione per definire soluzioni rispettose della protezione dei dati personali. nell’ambito delle “città intelligenti” o “connesse”. Ciò riguarda il controllo del traffico, la mobilità, la gestione delle risorse, i servizi sociali, i dispositivi “smart home”, gli strumenti IoT (Internet of Things).

Un caso che esemplifica la trasparenza sul trattamento dei dati delle persone è un sito olandese che illustra tutti gli algoritmi utilizzati dall’amministrazione nell’erogazione dei servizi comunali.

LIMITI E RISCHI NEL MONITORAGGIO DELLE PERSONE

Gli impatti in materia di privacy su controlli a distanza e controlli difensivi con i sistemi di Intelligenza Artificiale

Per aumentare la sicurezza dei sistemi informativi aziendali, ci sono soluzioni tecnologiche basate su algoritmi di intelligenza artificiale (IA), che, secondo l’articolo Gli impatti in materia di privacy su controlli a distanza e controlli difensivi con i sistemi di Intelligenza Artificiale, possono essere suddivise in tre categorie principali.

  1. Rilevamento delle intrusioni, per cui l’IA si avvale di algoritmi di apprendimento automatico e analisi dei dati per individuare anomalie che potrebbero indicare una violazione della sicurezza.
  2. Rilevamento delle anomalie per identificare attività insolite che potrebbero indicare una violazione della sicurezza, tramite l’analisi automatica dei dati provenienti dal traffico di rete o dai log di sistema e altre fonti.
  3. Analisi del comportamento, in cui l’IA analizza il comportamento dei lavoratori per identificare eventuali attività sospette, quali comportamenti anomali come l’accesso ai dati fuori dal normale orario di lavoro, o accesso a fonti non autorizzate.

Questi tre aspetti impattano diversamente, ed in modo rispettivamente crescente, sulla protezione dei dati personali, tuttavia persino il terzo può essere ammissibile in determinate condizioni.

Una sentenza in cassazione, infatti, sancisce che <<Sono consentiti i controlli anche tecnologici posti in essere dal datore di lavoro finalizzati alla tutela di beni estranei al rapporto di lavoro o ad evitare comportamenti illeciti, in presenza di un fondato sospetto circa la commissione di un illecito, purché sia assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, sempre che il controllo riguardi dati acquisiti successivamente all’insorgere del sospetto.>>

In particolare, per i controlli che riguardano tutti o un insieme generalizzato di lavoratori che nello svolgimento delle proprie mansioni viene a contatto con il patrimonio aziendale, vale la Legge n.300 del 1970, art.4, per cui sono necessari un preventivo accordo sindacale o un’autorizzazione dell’ispettorato del lavoro. Mentre, per i controlli che riguardano l’accertamento di sospette condotte illecite dei singoli dipendenti, ciò non è necessario.

In ogni caso, il regolamento aziendale sull’uso degli strumenti informatici / informativa privacy dovranno indicare in che misura e con quali modalità, anche all’occorrenza di eventi imprevisti o eccezionali, vengono effettuati controlli.

I dispositivi intelligenti mettono a rischio la privacy ed è opportuno utilizzarli adeguatamente

L’articolo Assistenti digitali: i consigli del Garante per tutelare la privacy illustra che vari dispositivi, quali smartphone, auto, altoparlanti intelligenti, sono dotati della tecnologia smart assistant (assistente digitale), che attraverso algoritmi di intelligenza artificiale, interpreta il linguaggio naturale ed è in grado di soddisfare diversi tipi di richieste dell’utilizzatore. Per esempio fornire informazioni, fare ricerche su Internet, indicare percorsi stradali, e, se in collegamento con sensori e attuatori, fare una telefonata, effettuare un acquisto online, regolare la temperatura o l’illuminazione di un’abitazione, chiudere o aprire serrature di case o automobili intelligenti, attivare elettrodomestici.

Se, da un lato, gli assistenti digitali semplificano la vita, dall’altro raccolgono una quantità di informazioni personali sulla persona dell’utente diretto ed anche di chi eventualmente si trova nei paraggi. I dati possono anche essere di categoria particolare, basta pensare alla raccolta del timbro di voce e, se in collegamento con telecamere, dell’immagine, nonché allo stile di vita, ai percorsi effettuati, ecc.

Il consiglio quindi è di fornire meno informazioni possibili, anche in fase di configurazione del proprio account di accesso. [Tener presente che i dispositivi intelligenti sono collegati in Internet e, per dolo o per errore, i dati potrebbero essere divulgati al di fuori della piattaforma del gestore, il quale comunque avrebbe anche la possibilità di utilizzarli per profilazione. Ndr].

E’ disponibile, per un aiuto ad un utilizzo consapevole, la guida del Garante della Privacy “Assistenti digitali (smart assistant) I consigli del Garante per un uso a prova di privacy“.

Porre limiti allo spionaggio delle persone, anche se per finalità di sicurezza pubblica

L’articolo Garante Privacy: ‘software spia e intercettazioni, pericolosi strumenti di sorveglianza massiva’ informa che è in preparazione un disegno di legge per rafforzare le garanzie di riservatezza dei colloqui e delle conversazioni oggetto di captazione, in particolare di quelle che coinvolgono soggetti terzi rispetto alle parti processuali.

Il Garante della privacy, ascoltato dal parlamento, ha evidenziato “i rischi connessi all’utilizzo di captatori informatici con il ricorso a tecniche di infiltrazione prive della necessaria selettività” come nel caso di “software connessi ad app, non direttamente inoculati nel solo dispositivo dell’indagato, ma posti su piattaforme accessibili a chiunque”. Ha quindi suggerito l’opportunità di maggiori misure di tutela.

RISPETTO DELLA LEGISLAZIONE SULLA PRIVACY

Ritardare la trasmissione dei dati personali all’interessato richiedente può costare caro

L’articolo Il lavoratore ha diritto all’accesso ai suoi dati personali, compresi quelli contenuti nella relazione dell’agenzia investigativa che indaga su di lui riferisce di un provvedimento del Garante contro un’azienda che aveva inizialmente omesso di fornire e poi fornito in modo limitato i dati, acquisiti durante una fase di investigativa che lo riguardava ai fini di una contestazione disciplinare, ad un dipendente. Tali informazioni avrebbero potuto essere utili per l’esercizio del diritto alla difesa da parte del lavoratore.

[E’ pur vero, però, che rivelando le informazioni circa l’indagine mentre questa è in corso, presumibilmente la si vanificherebbe, non consentendo quindi all’azienda di acquisire le prove circa le presunte infrazioni commesse. Ndr]

Avete mai pensato a simulare in azienda un’ispezione del Garante della Privacy?

Secondo l’articolo Ispezioni del Garante Privacy, aziende e DPO pronti ad affrontarle con procedure interne e simulazioni, la possibilità di un’ispezione del Garante della privacy è talmente sentita dalle aziende che oltre la metà dei DPO la vede come una situazione di emergenza. Infatti molte aziende hanno procedurato il processo di cooperazione con il Garante, stabilendo le responsabilità per il presidio della PEC, per lanciare l’allerta ai ruoli coinvolti nella privacy e nella cyber security, per ricevere i funzionari dell’autorità, per verificare che tutta la documentazione interessata sia pronta per essere messa a disposizione, per operare per tutta la durata dell’ispezione [per registrare accuratamente, ogni richiesta, ogni risposta e documento forniti e seguire l’iter sino a conclusione; ndr].

Predisporsi in anticipo significa, tra l’altro, curare il rispetto del GDPR e avere sotto controllo il perimetro di sicurezza dei dati aziendali, nonché i documenti che attestano i risultati positivi in merito alla protezione dei dati personali, alla sensibilizzazione e formazione del personale addetto ai trattamenti dei dati personali ed al loro controllo [nonché alle nomine scritte; ndr].

Gli audit interni possono essere svolti dal DPO e possono riguardare, ai fini della verifica della bontà e del rispetto delle procedure derivanti dal GDPR, direttamente l’azienda nelle varie funzioni e processi (audit di prima parte), così come i responsabili esterni del trattamento dati personali (audit di seconda parte). L’azienda può inoltre commissionare gli audit a società esterne, in modo da garantire maggior obiettività (audit di terza parte).

Quest’ultimo tipo di audit ha il vantaggio di simulare meglio una situazione imprevedibile e di coinvolgere di più emotivamente gli interessati, in quanto un situazione di stress, quale quella provocata da una reale ispezione della Guardia di Finanza, può comportare un certo panico e produrre risposte non adeguate o mancate risposte.

Trasferimento di dati sanitari da e verso gli SUA

L’articolo Trattamenti dei dati sanitari tra USA e UE, necessaria compliance per entrambe le norme secondo il principio della massima tutela sostiene che, a differenza della Comunità europea, in cui vige il GDPR per la protezione dei dati personali in genere, negli USA non vi è ancora una norma federale dedicata specificamente alla materia della privacy e vari progetti di legge in merito non sono ancora stati ratificati.

In USA, limitatamente ai dati sanitari, è vigente l’ “Health Insurance Portability and Accountability Act (HIPAA)”, finalizzato più che altro a tutelare i lavoratori dal rischio di perdere i benefici dell’assicurazione sanitaria, ma pur sempre affrontando il tema dei dati personali e purtroppo con requisiti anche non corrispondenti a quelli del GDPR. Gli operatori che devono trasferire dati personali tra EU e USA / viceversa dovrebbero tener conto, quindi, di entrambe le normative, anche se è in vigore il recente “EU-US Data Privacy Framework”.

L’anonimizzazione dei dati personali deve proteggerli anche dall’identificazione indiretta

L’articolo Pubblicazione di dati oscurati, il Garante della privacy ricorda di verificare la possibilità di identificazione indiretta riferisce che, con un provvedimento, il Garante della privacy ha precisato che l’anonimizzazione non può limitarsi all’oscuramento del nome degli interessati, ma, specie in caso di pubblicazioni online, deve riguardare anche la possibilità di individuazione indiretta attraverso dati correlati.

Questo comporta la necessità di un’analisi dei rischi relativa alla possibilità di recupero di identificatori desumendoli non solo dalle notizie pubblicate, ma anche dalle informazioni ad esse associabili reperibili altrove. A questa analisi è direttamente interessato il DPO.

[Un caso in cui sono necessarie precauzioni circa l’anonimizzazione è anche quello della trasmissione delle segnalazioni in materia di whistleblowing; Ndr]

IN BREVE, DALL’ITALIA E DAL MONDO

Digital Services Act e Digital Markets Act: un articolo per chi necessita di approfondimenti

Si cita l’articolo Digital Services Act e Digital Markets Act: una nuova costituzione digitale europea per utenti, cittadini e imprese? solo per fornirne il link a chi fosse coinvolto o anche solo interessato a questi abbastanza recenti regolamenti europei.

Maggiori tutele per i minori che accederanno alla rete con i prossimi dispositivi

Il D.Lgs contro la criminalità minorile approvato dal 7 settembre contiene una norma finalizzata alla tutela dei minori che utilizzano dispositivi informatici.

Per l’articolo Dispositivi elettronici, sistemi di parental control di default spicca, tra tutti i requisiti, l’obbligo, per i fornitori dei servizi di comunicazione elettronica, di assicurare la disponibilità delle applicazioni di controllo parentale nell’ambito dei contratti di fornitura di tali servizi. A regime tale controllo dovrebbe essere attivo per default. Sussiste peraltro la difficoltà di verifica in rete della età di chi accede a un sito, poiché caricare un documento di identità significa inserire on line dati che possono essere oggetto di furto di identità.

Sono inserite inoltre norme per favorire l’alfabetizzazione digitale e mediatica a tutela dei minori, anche con campagne informative.

Un nuovo regolamento comunitario: il Data Governance Act

L’articolo Dopo il Digital Services Act in vigore anche il Data Governance Act informa che dallo scorso settembre è in vigore anche il Data Governance Act (DGA), che riguarda la condivisione dei dati sia personali che non, all’interno della UE. In particolare tratta di:

  • le condizioni per cui terzi possono riutilizzare i dati in possesso di enti pubblici per fini diversi dallo scopo iniziale;
  • le norme per la fornitura di “servizi di intermediazione dei dati”, i quali gestiscono i rapporti commerciali per la condivisione dei dati tra interessati e titolari dei dati, da un lato, e utenti dei dati, dall’altro;
  • la registrazione delle organizzazioni che trattano dati resi disponibili a fini altruistici (per esempio per l’assistenza sanitaria, la lotta ai cambiamenti climatici e il miglioramento della mobilità);
  • le modalità per l’istituzione di un comitato europeo per l’innovazione in materia di dati.

Il “titolare dei dati” è il soggetto che tratta i dati e che ha il diritto di concedere l’accesso o di condividere dati personali o non personali. Gli “utenti dei dati” sono soggetti che hanno accesso ai dati per utilizzarli a fini legittimi.

A titolo di esempio, il “marketplace globale dei dati” Dawex, così come si definisce la stessa azienda francese, fornisce una piattaforma per le transazioni di comunicazione dei dati, in modo trasparente, tra fornitori e utenti dei dati stessi, senza acquistare o vendere direttamente i dati.

Servizi utilizzati in proprio da un titolare dei dati, servizi che aggiungono valore ai dati e li rivendono, servizi relativi a dati coperti dal diritto d’autore e servizi di mera condivisione di dati pubblici non rientrano tra i cosiddetti “servizi di intermediazione dei dati”.

I “fornitori di servizi di intermediazione dei dati riconosciuto nell’Unione” dovranno essere iscritti ad un registro pubblico e dovranno comunicare su quale sito web trovare le informazioni che li identificano, sulle sue attività svolte, le persone di contatto, con una descrizione del servizio e la data di inizio dell’attività. Dovranno rispettare severi requisiti per garantire neutralità ed evitare conflitti di interesse.

Gli stati membri della UE dovranno designare le autorità competenti per monitorare la conformità dei fornitori dei servizi di intermediazione dei dati e recepirne le notifiche.

Il Data Governance Act intende offrire un modello alternativo rispetto ai modelli di gestione dei dati delle Big Tech, per ovviare al rischio di distorsione del mercato conseguente alle grandi quantità di dati controllate da tali soggetti. Il DGA dovrebbe consentire alle industrie di sviluppare prodotti e servizi innovativi e portare benefici alle persone attraverso il miglioramento della sanità, del trasporto pubblico, nella gestione delle emergenze e del cambiamento climatico, anche con una previsione di notevoli risparmi economici.

Continuo incremento degli attacchi cyber

L’articolo In Italia gli attacchi ransomware sono aumentati del 34,6%, e l’80% delle vittime sono Pmi denuncia il notevole aumento degli attacchi informatici (ransomware, phishing e malware), che in Italia hanno colpito in prevalenza aziende appartenenti alle PMI, soprattutto nel settore dei servizi.

Più in dettaglio, secondo l’ultimo report “Threatland” curato dai settori Security Operation Center (SOC) e dal Team di Cyber Threat Intelligence di Swascan, in Italia, nel secondo semestre 2023 il ransomware è aumentato di ca. il 35%, colpendo le PMI per l’80% dei casi e le aziende con fatturato inferiore ai 250 milioni di euro per il 91%. Gli attacchi hanno colpito il settore dei servizi per il 54% dei casi, quello manifatturiero per l’11% e quello sanitario per il 9%; seguono il settore finanziario, quello immobiliare e altri. Sempre nel solo secondo trimestre sono stati compromessi ca. 190 mila dispositivi.

[Swascan è una società italiana che offre alle aziende servizi di cyber security attraverso la propria piattaforma web. Ndr]

Sanzioni del Garante direttamente in cartella esattoriale

L’articolo In cartella esattoriale la sanzione del Garante Privacy non pagata avverte che una sanzione del Garante della privacy non pagata o non sospesa attraverso la presentazione di nuove memorie difensive va a finire nella cartella esattoriale di pagamento del trasgressore, con valenza di atto di riscossione da parte della pubblica amministrazione.

VIOLAZIONI DI DATI PERSONALI E SANZIONI, IN BREVE

  • Per ben 9 mesi degli hacker si sono infiltrati nei sistemi informativi dell’Agenzia nazionale giapponese per la cybersecurity [questo dimostra davvero che nessuno è veramente protetto e che oltre alle misure di protezione del perimetro informativo, sono indispensabili dispositivi di detection efficaci e una capacità di reazione tempestiva ed adeguata. Ndr]
  • Riprende una persona ubriaca con lo smartphone e posta il video online: la bravata gli costa una multa da 10mila euro.
  • Sanzionate dal Garante Comparafacile e Tiscali per aver, rispettivamente, continuato a continuato a inviare chiamata pubblicitarie anche dopo l’iscrizione di un pubblico cittadino al Registro pubblico delle opposizioni e per aver reso disponibile agli interessati un’informativa privacy lacunosa.
  • Google pagherà 93 milioni di dollari allo Stato della California per pratiche ingannevoli con violazione della legge sulla privacy nel tracciamento della posizione degli utenti.
  • Sanzioni per 345 milioni di euro a TikTok per aver violato le norme europee sulla protezione dei dati nel trattamento delle informazioni riguardanti i minori.

ing. Michele Lopardo

Responsabile Qualità @ Wondersys